Адрес для входа в РФ: exler.world

Трояны-шифровальщики

09.09.2015 11:36  10708   Комментарии (77)

Мне нередко приходят письма из серии: "Помогите, троян зашифровал все файлы на моем компьютере и теперь требует денег. Что делать?"

Ну, во-первых, делать надо было до, а не после. Потому что:

1. Архивирование данных

Представьте себе, что вы вот прямо сейчас потеряете все файлы на своем компьютере. Причем это не обязательно будет троян. Жесткий диск может внезапно выйти из строя, да мало ли что. А у вас бекапы - есть? Нет вообще? Есть годовалой давности?

Что будете делать? Плакать и биться головой об стол?

Ну так лучше подумать об этом заранее, чтобы потом ничем ни о обо что не биться. Программ бекапирования данных существует великое множество. Но тут главное - даже не программы, а ваша организованность в деле хранении данных на компьютере. Потому что манера многих пользователей держать кучу файлов непосредственно на рабочем столе, а бекапировать папку "Мои документы", где файлы с рабочего стола не содержатся - она глубоко неправильная.

Храните все документы строго в "Моих документах", а на рабочем столе держите их ярлыки - вот это правильный подход. Храните все фотографии в соответствующей папке, а не разбрасывайте их по разным дискам. Храните все домашнее видео в папке "Видео" - ну и так далее.

После этого настройте ежедневный бекап соответствующих папок - и тогда все будет в порядке. Можно загонять их в архив каким-то архиватором (WinRar) с обновлением файлов (то есть уже имеющиеся в архиве файлы он туда добавлять не будет, экономя время), можно просто копировать папки на какой-то носитель (например, на домашний NAS). Раз в неделю делайте копию всех архивов на внешний диск - и храните этот диск отдельно.

2. Защита

Разумеется, при работе с компьютером нужно использовать надежную антивирусную защиту. Это не на 100-процентов помогает, но тем не менее очень помогает - процентов на 80 как минимум. И антивирус желательно ставить хороший, известный, а не непонятно что - только потому, что оно бесплатное.

3. Человек - сам творец своего счастья

Практически никогда троян не сядет на ваш компьютер самостоятельно. Он это делает с вашего любезного разрешения. Шляетесь по всяким помойкам - сайтам с варезом, порнухой и так далее? Самолично устанавливаете на компьютер какой-нибудь даунлодер, взятый черт знает откуда? Ну вот сами своими руками троян и запустили.

Не шляться по помойкам, не тащить на компьютер всякую гадость - глядишь и трояна не установите. Ну и да - никогда не отвечать "да" на какие-то непонятные вам запросы с непонятных сайтов!

4. Что делать, если оно уже зашифровало

Правило номер один - никогда не платить вымогателям! Ни под каким видом! Во-первых, потому что они вам фиг что расшифруют - проверено. Во-вторых, потому что если вы поддерживаете их бизнес, то таким образом становитесь соучастником вымогательства. По данным Dr.Web с 2009 года количество подобных троянов увеличилось почти на 2000%! И все потому что находятся дебилы, которые платят вымогателям. Соответственно, вымогателей становится все больше и больше.

Один мой знакомый самолично заплатил этим уродам 45 тысяч рублей. На вопрос, в какой заднице у него при этом находились мозги, он ответил, что, мол, "файлы были очень важные". Что характерно, ни черта ему не расшифровали - просто кинули, как они обычно и делают. После этого он прибежал ко мне, а я ему тут же указал направление, куда бежать дальше. Потому что думать нужно головой - я в этом глубоко убежден.

Так вот, что делать, если у вас уже все зашифровалось, а платить мерзавцам вы не собираетесь? Ответ один - обращаться к профессионалам. У Касперского есть утилиты для лечения. Также антивирус Касперского предоставляет защиту от таких блокираторов. В компании Dr. Web помогают расшифровывать файлы (далеко не во всех случаях, но тем не менее), также антивирус Dr. Web имеет средства защиты от таких троянов и может автоматически бекапировать ваши файлы, чтобы вы их могли восстановить самостоятельно. Ну и другие компании, разрабатывающие антивирусы, помогают в расшифровке и их антивирусы, как правило, имеют определенные средства защиты от троянов. Просто тут главное - все-таки использовать эти средства защиты до того, как на ваш компьютер сядет троян.

Так что - постоянно архивировать данные, держать несколько копий архивов, не шляться по помойкам, не ставить на компьютер всякую дрянь, не платить вымогателям.

И ваши файлы будут мягкими и шелковистыми.

09.09.2015 11:36
Комментарии 77

Что это за детские комплексы «он шляется по сайтам с порнухой, и у него от этого трояны» - ?! Да что это за чушь?! Да, шляюсь. Да, качаю mkv/avi/wmv/jpeg и что? Ни разу не видел ни одного трояна в этих медиа-файлах, и подозреваю, что не увижу никогда.
11.09.15 15:09
0 0

pіroJOKE: Что это за детские комплексы «он шляется по сайтам с порнухой, и у него от этого трояны» - ?! Да что это за чушь?! Да, шляюсь. Да, качаю mkv/avi/wmv/jpeg и что? Ни разу не видел ни одного трояна в этих медиа-файлах, и подозреваю, что не увижу никогда.

Там вместо медиафайла иногда отдают исполняемый файл под видом даунлоадера. Майкрософт, впрочем, тоже так делал 😄
12.09.15 23:37
0 0

45 тысяч... 45 тысяч... 45 тысяч...

Да, заело.

Не, ну это надо догадаться.
10.09.15 13:24
0 0

Храните все документы строго в "Моих документах"

Как уже тут сказали в коментах, этого не стоит делать. Вобще более чем спорно все это. Бэкапы надо делать если документы важные и есть куча софта который позволяет делать это по расписанию. А что и где хранить дело личное.


10.09.15 13:19
0 0

Алекс, многое уже написали (в том числе и про папку "Мои документы"). Бекап важной инфы - тоже дело понятное. Но дам один маленький, но действующий совет (все же я корпоративный админ, редко сталкиваюсь с компами пользователей, но и это приходится)...
Shadow Copy - очень хороший сервис от МС. (В никс-лайк свои способы, не суть). Включи (место потеряешь, конечно, но не так уж критично). Хато дышать станет легче. Это будет допбекап с легким восстановлением.
ps: Опять же - как уже сказали - шифровальщики приходят бОльшей частью не через помойки в инете, а с почтой. В последнее время участились письма "из прокуратуры", которые пользователи не только открывают, но и немедленно запускают вложения. Антивирус сам по себе вообще не поможет - надо еще и почтовый клиент настраивать.
10.09.15 10:48
0 0

Chief: Алекс, многое уже написали (в том числе и про папку "Мои документы"). Бекап важной инфы - тоже дело понятное. Но дам один маленький, но действующий совет (все же я корпоративный админ, редко сталкиваюсь с компами пользователей, но и это приходится)...

Shadow Copy - очень хороший сервис от МС. (В никс-лайк свои способы, не суть). Включи (место потеряешь, конечно, но не так уж критично). Хато дышать станет легче. Это будет допбекап с легким восстановлением.

ps: Опять же - как уже сказали - шифровальщики приходят бОльшей частью не через помойки в инете, а с почтой. В последнее время участились письма "из прокуратуры", которые пользователи не только открывают, но и немедленно запускают вложения. Антивирус сам по себе вообще не поможет - надо еще и почтовый клиент настраивать.

Вот именно. Нам на работу все еще приходят письма, правда с банальным фишингом, просящие подтвердить персональные данные и ввести пароли. Как ни странно, но раз их присылают, значит еще есть совсем темные люди, которые умудряются открывать ссылки и вводить пароли и что там еще требуют.
11.09.15 17:42
0 0

По первому пункту:

Проблема бекапов сильно преувеличена и переоценена. Но в какой-то степени она все-же существует и решать ее имеет смысл исходя из двух постулатов:

Да, диск у компьютера может сдохнуть в любой момент внезапно.

Да, у обычного офисного человека ничего полезного на компьютере все равно нет.

С первым пунктом все понятно, тут ничего не сделаешь, придется смириться, давайте подробнее разберем второй. Понятно, что все скачанное может быть скачано еще раз, поэтому совершенно нет смысла заморачиваться с чесно украденными фильмами, музыкой, книгами, софтом - нафига вам бекапить нелицензионный офис 2003, если после крушения диска вы себе офис 2016 скачаете там же?

После анализа очевидно, что имеет смысл хранить только то что вы купили и то, что вы сами создали. То что вы купили - это маленький текстовый файл с номерами лицензий и аттрибутами транзакций. То что вы сами создали я пока рассматривать не буду, потому что это может быть сто килобайт кода или сто терабайт домашнего порно, но раз вы сами профессионально создаете контент, то должны знать как делать бекапы.

Вот и остается в сухом остатке у нас три маленьких категории документов, которые имеет смысл хранить:

1. Купленное: делаем файл с перечнем софта и ссылками откуда его можно скачать. Сами инсталляции хранить бессмысленно, вы их либо заново скачаете, либо к тому времени появятся новые версии и вам все равно обновляться.

2. Документы, которые удобно иметь в электронном виде под рукой: копии паспортов, водительских удостоверений, фотокопии различных справок и т.п. тут можете дать фантазии разгуляться, все равно не поверю, что у вас таких документов наберется больше сотни.

3. Прочее: пароли, номера кредиток, букмарки, календари, напоминалки, списки покупок и другая важная чепуха - это все надо хранить в специализированных сервисах и не парить себе мозг. Тогда и проблема доступа с разных устройств решиться автоматически.

Специальным пунктом вынесу фотолюбительство и проблемы с ним связанные - если вы снимаете в джепег - поставьте себе фликер, держите фотки в нем и не парьтесь, ваши фотографии кроме вас самого никому не нужны, а вы в любой момент можете нащелкать еще лучше. Даже намного лучше.

Если же вы снимаете в рав и фотографии продаете - то купите себе трех-пяти дисковый рейд и держите равки в нем, а на ноутбуке держите только каталог лайтрума с превьюшками и тоже не парьтесь.

Вот и получаем в сухом остатке пару десятков текстовых документов, да сотню фотокопий, которые просто необходимо дублировать в Дропбоксе или любом другом нероссийском файловом хранилище, а лучше в двух. Почту держим у Гугла, пусть у него голова болит за ее сохранность и за отфильтровку спама.

При таком раскладе вам не нужно ждать смерти диска, вы можете сами ее провоцировать - все равно на восстановление комфортной рабочей среды с ноля вы потратите не больше 10-15 минут.

По второму: У многих хороших антивирусов есть достаточная бесплатная версия. Читайте солидные компьютерные издания. По версии "PC World" в данный момент лучшим является Panda, которая существует и для PC и для Android.

По третьему:

От троянов и прочей хрени очень хорошо помогает связка Adblock + Ghostery, тоже не на сто процентов, конечно, но шанс увидеть сам запрос трояна на установку стремится к нолю, чего для большинства пользователей достаточно.

По четвертому: ничего не скажу, не сталкивался.
10.09.15 10:38
0 0

perepelkin : Если я сижу под аппаратным файрволом так ли нужен мне Ghostery?
10.09.15 14:14
0 0

perepelkin: Если же вы снимаете в рав и фотографии продаете - то купите себе трех-пяти дисковый рейд и держите равки в нем, а на ноутбуке держите только каталог лайтрума с превьюшками и тоже не парьтесь.

А то шифровальщику сложно равы зашифровать будет.
12.09.15 23:34
0 0

Алекс, со всеми советами согласен, кроме "не платить".



Это вам не гос. номера от машины, чтоб быстро снять новые.

Другого способа получить файли обратно (в видимом будущем) нет.

Один знакомый заплатил ~700$, другой ~900$. Файлы дороже.



Я говорю про CTB (Crypt-Tor-Bitcoin) вирус, который очень часто модифицировался (и антивирусы, в том числе и каспер, не ловили новую модификацию в течении 1-2 дней) и для каждого компьютера генерировал отдельный ключ шифрования.
10.09.15 00:54
0 0

Если зашифрованные данные представляют собой вневременную ценность, то их можно отложить лет на 5-10, а потом расшифровать. 128-битные ключи уже сейчас не считаются стойкими.
Вообще, вся сложность дешифровки асимметричного шифрования заключается в вычислительной сложности разложения больших чисел на простые множители. Поэтому тема поиска простых чисел сейчас очень актуальна и их активно ищут.
09.09.15 22:31
0 0

Если включено восстановление системы, сама система 7 и выше, под восстановление системы выделено какое-то разумное место, то большинство файлов можно восстановить через теневые копии.

Есть программы, типа Shadow Explorer, которые позволяют поднять теневые копии еженедельные (по умолчанию). Это раз.

Второе, большинство шифровальщиков запускаются ява-скриптом. Как вариант, стоит в антивирусе поставить запрет запуска файлов *.js
















09.09.15 21:49
0 0

Вообще-то, шифрование с открытым ключом предназначено для того, чтобы его нельзя было расшифровать. А если, например, Касперский (или кто-либо ещё) расшифровал, то либо шифровальщики использовали ключ повторно, что вероятно, либо "Касперский знает секрет".
09.09.15 19:45
0 0

MetaReks:
Вообще-то, шифрование с открытым ключом предназначено для того, чтобы его нельзя было расшифровать. А если, например, Касперский (или кто-либо ещё) расшифровал, то либо шифровальщики использовали ключ повторно, что вероятно, либо "Касперский знает секрет".


Да однозначно, к гадалке не ходи:)
09.09.15 20:29
0 0

MetaReks: Вообще-то, шифрование с открытым ключом предназначено для того, чтобы его нельзя было расшифровать.

Не "нельзя", а "невозможно за разумное время при современных вычислительных мощностях".
09.09.15 22:04
0 0

Позавчера на работе одна сотрудница так влетела: пришло ей на почту письмо с вложением под именем типа "новый вариант договора", она и открыла, а там ехе-шник. Все зашифровалось. Поскольку у нас корпоративный касперский, написали туда с приложением образцов зашифрованных фалов. Сегодня с каспера прислали расшифровщик - все расшифровали.
09.09.15 19:38
0 0

EvgeniyK:Сегодня с каспера прислали расшифровщик - все расшифровали.


Евгений Касперский детектед.
09.09.15 19:58
0 0

EvgeniyK : а какого черта она с правами админа сидит и без запрета запуска исполняемых файлов?. Да и почтовик (если коропоративный) настроить надо на удаление исполняемых файлов
10.09.15 09:22
0 0

служба поддержки «Доктор Веб»

Так и говорит:

ВНИМАНИЕ! В большинстве случаев расшифровка НЕВОЗМОЖНА. Ознакомьтесь дополнительно с этим материалом

но

...а что? а вдруг? беру с собой : полотенце, маску, ласты)))
09.09.15 17:52
0 0

Чо то про мак маловато отписались.. 😄

Сколько за пять лет не пытался на Мак посадить какую-нибудь заразу. Всякими разными способами. Без антивирусов разумеется. И так и эдак. И даунлодерами и варезниками и кхм..

И какими только антивирусами потом не мучал.. Касперскими или Вебами и т д. Все упрямо в один голос утверждают что всё ок. Руки уже опускаются..




09.09.15 17:20
0 0

Alex Exler:
Мне нередко приходят письма из серии: "Помогите, троян зашифровал все файлы на моем компьютере и теперь требует денег. Что делать?"


Нередко это насколько часто? Раз в месяц, в неделю, каждый день? У вас вроде бы не настолько много читателей, чтобы среди них нашлось значимое количество идиотов, которые бы в поисках решения проблемы с троянами писали бы вам письмо.
09.09.15 15:44
0 0

А вот, ребята, как форматнуть зашифрованную карточку, которую отказывается видеть смарт (шифровальщик) и которую видит комп, но всяческие утилиты отказываются форматировать её.
09.09.15 15:14
0 0

Игорь Кужлев: А вот, ребята, как форматнуть зашифрованную карточку, которую отказывается видеть смарт (шифровальщик) и которую видит комп, но всяческие утилиты отказываются форматировать её.

А вы уверены, что карточка исправна? Насколько я понимаю механизм форматирования, ему глубоко плевать, что за данные там размещены. Не таблицы же расположения данных зашифрованы (FAT) и не аппаратная адресация 😄

Бывают случаи, когда карточка ведет себя нормально в нектр. сценариях, а в др. - глючит. Неисправна.

1. К сожалению, последние шифраторы, которые залетали на наши компы, шифровали все файлы офисных расширений, до которых могли дотянуться, вне зависимости от местоположения. Схема заражения - это интерактивная многоходовка.

2. Шифровальщики сегодняшнего дня используют вполне легитимные средства, на которые любой антивирус из коробки не среагирует. Доступными средствами надо запрещать исполнение утилит типа pgp(gpg), в Каспере, раз уж про него зашла речь, включить поведенческий анализ на предмет файловой активности. Тогда есть шанс недопустить шифрование локальных пользовательских файлов и сетевых шар.

3. Утверждение, сделанное "диванным" 😉 юзером. В корпоративной среде пользователям не разрешено гулять по интернетам, ссылки попадают чаще всего через почтовые и IM сообщения. Здесь тоже используются хитрости и уловки для обмана уже опытных пользователей.

4. Платили, да, когда несколько известных антивирусных компаний сдулись на расшифровке. В качестве заложника получили ключ AES, с которым расшифровывали обратно.

В качестве уточнения к рекомендациям с технической стороны - не держать бэкапы в виде тех же доступных файлов. Архив под пароль, на худой конец, лучше - изолированная система хранения, отделенная физически и на уровне привилегий. Настроить реакцию антивируса согласно его возможностям на подозрительную файловую активность. С человеческой - повышать грамотность, в данном случае компьютерную.












09.09.15 15:00
0 0

ключевые фразы по выбору антивируса в статье Вильянова -

"с точки зрения надежности на уровне конкретного пользователя у всех топовых антивирусов все примерно одинаково... Различия на уровне движка, интерфейса и маркетинга."

Остается добавить только, что предпочтения к интерфейсу могут широко различаться.

А вообще, в очередной раз можно только поразиться - идеальный провайдер, идеальный роутер... Это Вильянов, журналист и компьютерный гик, хорошо осведомлен какой провайдер лучше, какой хуже, где NAT включен, а где нет. А подавляющее большинство обычных рядовых пользователей знать не знают что такое NAT - и я считаю, и не должны знать. ИТ индустрия с каждым годом все больше работает сама на себя.












aag
09.09.15 14:57
0 0

aag: ИТ индустрия с каждым годом все больше работает сама на себя.


Да ладно. Не так давно все пользователи были гиками, обычных рядовых вообще не было.
09.09.15 15:08
0 0

Немного не в тему, но посоветуйте бесплатный антивирус под Андроид 😄

Защита для меня не так важна (использую ограниченный круг проверенных программ, а наличие антивируса - требование корпоративной политики), а вот минимум геморроя (реклама, предложение обновиться до премиума и пр.) и влияния на скорость работы системы - приветствуется.
mmx
09.09.15 14:40
0 0

на 18 коментариев - один забашлял. Ну а потом удивляются когда это шифровальное дерьмо плодится.
09.09.15 14:37
0 0

Alex Exler: Храните все документы строго в "Моих документах"

Я бы сказал НИКОГДА не храните документы в папке "мои документы". Это же просто более ламерксого способа хранения документов не придумаешь.

Алекс, а ты что реально держишь все свои важные документы в папке "мои документы"??




09.09.15 14:35
0 0

Vingent: Я бы сказал НИКОГДА не храните документы в папке "мои документы". Это же просто более ламерксого способа хранения документов не придумаешь.



Алекс, а ты что реально держишь все свои важные документы в папке "мои документы"??

Ох, уж эти эксперты.

( 09.09.15 14:35 )

Cо школы пораньше отпустили? 😄
09.09.15 17:19
0 0

Заметка Вильянова похожа на непомеченную рекламу.
09.09.15 14:22
0 0

Thunnus: Заметка Вильянова похожа на непомеченную рекламу.


Ребята, там не только про Касперского!



Игорь Кужлев:
Uldemir Vush:
Игорь Кужлев : Вы распространитель Касперского?







Нет, но следуя советам С. Вильянова, поставил Каспера на свои андроиды и виндовсы. Почему нет?

Ну Вильянов-то, допустим, денюжку за свой продакт плейсмент ПОЛУЧИЛ , а вы, ОТДАЛИ...Причем оплатили-то куда?

Thunnus :

Thunnus: Заметка Вильянова похожа на непомеченную рекламу.

Коей она и является...
09.09.15 19:19
0 0

Была установлена официальноя версия Dr. Web, зашифрованы были так же базы 1С. В техподдержке обещали расшифровать, но срок от одного месяца. Срок не устроил, пришлось заплатить - расшифровали.
09.09.15 13:40
0 0

Еще советую работать в винде не под админом, а под пользователем. Настроить applocker и обязательно с белым списком. Это хорошо в линуксе продумано. Сначала конечно бесит, что нужно пароль админа набирать, зато потом привыкаешь и наслаждаешься отсутствием всякой заразы 😄
09.09.15 13:36
0 0

1. Не надо в моих документах.

2. Имена файлов или хотябы папок - только латиницей. При любом восстановлление первой слетает кодировка.

3. Отдельный диск и автобекап. Вариантов как грязи.
09.09.15 13:30
0 0

1 Про не платить согласен

2 Расшифровке поддаются далеко не все шифровальщики (но процентов 80), остальные ПРИНЦИПИАЛЬНО не расшифровываемы, пароль уникален для каждого заражаемого

3 в моей практике заплатившим расшифровывали
09.09.15 13:15
0 0

Vlad528:
1 Про не платить согласен

2 Расшифровке поддаются далеко не все шифровальщики (но процентов 80), остальные ПРИНЦИПИАЛЬНО не расшифровываемы, пароль уникален для каждого заражаемого

3 в моей практике заплатившим расшифровывали


Мы попали как-то в такую историю.

Дело в том, что этот шифровальщик шифрует не только на компе тупорылой тетушки, поймавшей вирус, но и в шарах по сети, куда у него есть доступ (так что NAS не любой спасет, тупо бэкапы все тоже пошифруют).

А у нас отдел бухгалтерии хранили какие то важные документы на открытой шаре!

На вопрос, чем они думали, и что их документы мог не только вирус зашифровать, но и прочитать и стереть любой сотрудник из вредности, толком не могли ничего умного родить. Бардак конечно, и IT виноваты тоже, не уследили.

Зашифровано было 128 битным ключом и с уникальным открытым ключом, то бишь расшифровке не поддавалось.

Ничего не оставалось сделать, как связаться в вымогателем, дать ему несколько файлов на пробу, он их расшифровал и прислал нам. После чего заплатили ему 1 биткоин - по тому курсу было что-то в районе 15.000 рублей.

Получили открытый ключ и все расшифровали.

После чего была раздача всем люлей и полная смена правил хранения, правил сетевых шар и т.д.

UPD: Stasyanka все по полочкам разложил раньше меня.




















Cas
09.09.15 15:27
0 0

А еще можно хранить в облаке с историей версий
09.09.15 12:44
0 0

CTAKAH: Бесплатный антивирус не значит автоматически "плохой"

В данном случа формулировка вроде более, чем корректная :

Alex Exler: а не непонятно что - только потому, что оно бесплатное.

Ключевое слово - "непонятно что".
09.09.15 12:35
0 0

Alex Exler: Мне нередко приходят письма из серии: "Помогите, троян зашифровал все файлы на моем компьютере и теперь требует денег. Что делать?"

Вы про этих?:

lenta.ru/news/2015/09/08/porno/


09.09.15 12:35
0 0

Бесплатный антивирус не значит автоматически "плохой". Кстати, неплохая тема для ликбеза...
09.09.15 12:31
0 0

CTAKAH: Бесплатный антивирус не значит автоматически "плохой". Кстати, неплохая тема для ликбеза...


Про антивирусы прекрасно Сергей Вильянов написал�vilianov.com

Кстати, просто наблюдение: с переходом сотрудников с десктопов на лаптопы, многие компании перестали всерьез заниматься бэкапом рабочих компьютеров. Почему - я не понял, но вот заметил такое.
09.09.15 12:23
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 273
авто 443
видео 4006
вино 360
еда 500
ЕС 60
игры 114
ИИ 29
кино 1582
попы 192
СМИ 2763
софт 930
США 132
шоу 6